Online-billetselskabet "See" er blevet dømt i 2.5 år af angribere

See Tickets er en stor global aktør inden for online-billetter til begivenheder: de sælger billetter til festivaler, teaterforestillinger, koncerter, klubber, koncerter og meget mere.

Virksomheden har netop indrømmet et stort databrud, der deler mindst én egenskab med de forstærkere, der foretrækkes af berygtede rockartister Spinal Tap: "alle tallene går til 11, lige over hele linjen."

I henhold til den e-mail-skabelon, som See Tickets brugte til at generere det mailshot, der gik til kunderne (takket være Phil Muncaster af Infosecurity Magazine for et link til Montana Department of Justice hjemmeside for en officiel kopi), bruddet, dets opdagelse, dets undersøgelse og afhjælpning (som stadig ikke er afsluttet, så denne kan endnu gå hele vejen til 12) udfoldede sig som følger:

• 2019-06-25. Senest på denne dato havde cyberkriminelle tilsyneladende implanteret data-stjælende malware på begivenhedsudtjekningssider drevet af virksomheden. (Udsatte data inkluderet: navn, adresse, postnummer, betalingskortnummer, kortets udløbsdato og CVV-nummer.)
• 2021-04. Se billetter "blev advaret om aktivitet, der indikerer potentiel uautoriseret adgang".
• 2021-04. Undersøgelse iværksat, der involverer et cyberforensics-firma.
• 2022-01-08. Uautoriseret aktivitet er endeligt lukket.
• 2022-09-12. Se Tickets afslutter endelig det angreb "kan have resulteret i uautoriseret adgang" til betalingskortoplysninger.
• 2022-10. (Undersøgelse igangværende.) Se billetter siger "vi er ikke sikre på, at dine oplysninger blev påvirket", men giver kunderne besked.

Kort sagt varede bruddet mere end to og et halvt år, før det overhovedet blev opdaget, men ikke af See Tickets selv.

Bruddet fortsatte derefter i ni måneder mere, før det blev korrekt opdaget og afhjulpet, og angriberne blev sparket ud.

Virksomheden ventede derefter yderligere otte måneder, før de accepterede, at data "kan" være blevet stjålet.

Se billetter end ventede en måned mere, før de underrettede kunderne og indrømmede, at de stadig ikke vidste, hvor mange kunder der havde mistet data i bruddet.

Selv nu, godt tre år efter den tidligste dato, hvor angriberne vides at have været i See Tickets systemer (selvom grundlaget for angrebet kan have været forud for dette, så vidt vi ved), har virksomheden stadig ikke afsluttet sit efterforskning, så der kan stadig komme flere dårlige nyheder.

Hvad er det næste?

Underretnings-e-mailen til Se billetter indeholder nogle råd, men den er primært rettet mod at fortælle dig, hvad du kan gøre for dig selv for at forbedre din cybersikkerhed generelt.

For så vidt angår at fortælle dig, hvad virksomheden selv har gjort for at kompensere for dette langvarige brud på kundernes tillid og data, er alt, hvad det har sagt, "Vi har taget skridt til at implementere yderligere sikkerhedsforanstaltninger på vores systemer, herunder ved yderligere at styrke vores sikkerhedsovervågning, autentificering og kodning."

I betragtning af at See Tickets blev advaret om bruddet af en anden i første omgang, efter at have undladt at bemærke det i to og et halvt år, kan du ikke forestille dig, at det ville tage ret meget for virksomheden at være i stand til at lægge hævder at "styrke" sin sikkerhedsovervågning, men det har den tilsyneladende.

Hvad angår rådene Se billetter udleveret til sine kunder, så bunder det i to ting: Tjek dit regnskab regelmæssigt, og pas på phishing-e-mails, der forsøger at narre dig til at udlevere personlige oplysninger.

Det er selvfølgelig gode forslag, men at beskytte dig selv mod phishing ville ikke have gjort nogen forskel i dette tilfælde, da enhver stjålet personlige data blev taget direkte fra legitime websider, som omhyggelige kunder ville have sørget for, at de besøgte i første omgang.

Hvad skal jeg gøre?

Vær ikke en slowcoach for cybersikkerhed: sørg for, at dine egne trusselsdetektions- og reaktionsprocedurer holder trit med TTP'erne (værktøjer, teknikker og procedurer) af cyberunderverdenen.

De skurke udvikler løbende de tricks, de bruger, som går langt ud over den gamle skole teknik med blot at skrive ny malware.

Faktisk bruger mange kompromiser i disse dage næppe (eller bruger) slet ikke malware, da det er det, der er kendt som menneskeledede angreb hvor de kriminelle forsøger at stole så vidt de kan på systemadministrationsværktøjer, der allerede er tilgængelige på dit netværk.

Skurkene har en bred vifte af TTP'er ikke kun til at køre malware-kode, men også til:

• Bryder ind til at begynde med.
• På tæerne rundt i netværket når de først er inde.
• Bliver uopdaget så længe som muligt.
• Kortlægning af dit netværk og dine navnekonventioner samt du kender dem selv.
• Opretter luskede måder, som de kan, for at komme ind igen senere hvis du smider dem ud.

Denne form for angriber er generelt kendt som en aktiv modstander, hvilket betyder, at de ofte er lige så praktiske som dine egne sysadmins og i stand til at blande sig med legitime operationer, så meget de kan:

Det er ikke nok bare at fjerne enhver malware, som skurkene kan have implanteret.

Du skal også gennemgå eventuelle konfigurations- eller driftsændringer, de måtte have foretaget, også i tilfælde af, at de har åbnet en skjult bagdør, hvorigennem de (eller andre skurke, som de sælger til på deres viden senere) muligvis kan vandre tilbage ind senere på deres fritid.

Husk, som vi gerne siger på Podcast af nøgen sikkerhed, selvom vi ved, at det er en kliché, det cybersikkerhed er en rejse, ikke en destination.

Hvis du ikke har tid eller ekspertise nok til at fortsætte med den rejse på egen hånd, skal du ikke være bange for at søge hjælp med det, der er kendt som MDR (administreret afsløring og respons), hvor du slår dig sammen med en betroet gruppe af cybersikkerhedseksperter for at hjælpe med at holde dine egne databrudsknapper et godt stykke under en Spinal Tap-lignende "11".

---